aws sts get-session-token ... --token-code ... не работает с InvalidClientTokenId, но вход в консоль MFA работает

Question

Я пытаюсь получить токен сеанса на AWS CLI следующим образом:

aws sts get-session-token --serial-number arn-string --token-code mfacode

где

• arn-string скопировано из консоль управления IAM, учетные данные безопасности для назначенного устройства MFA, формат вида arn:aws:iam:<number>:mfa/<name>
• mfacode берется из зарегистрированного виртуального устройства mfa

ошибка:

An error occurred (InvalidClientTokenId) when calling the GetSessionToken operation: The security token included in the request is invalid.

Однако я использую это устройство MFA для входа в консоль в браузере.

У меня есть только профиль по умолчанию в моем ~ / .aws /, но я не вижу, как это будет иметь какое-либо влияние.

попробовал это:

1. попробуй несколько раз, чтобы убедиться, что не произошло переворота mfa
2. удалить устройство MFA назначение и переназначение устройства - та же ошибка
3. пропуск --token-code в надежде, что он запросит у меня токен устройства MFA - та же ошибка
4. с использованием arn:aws:iam:<number>:user/<name> - та же ошибка, что и можно ожидать, так как aws get-session-id help четко указывает, что это должен быть arn устройства mfa

Я полагаю, это ha s связано с arn-строкой, а не с токеном, но что? Любые идеи о том, что вызывает эту проблему, приветствуются.

С уважением, Олаф

Answer 1

Решено. Комментарий maafk решает эту проблему. Для записей и для следующей бедной души, наткнувшейся на эту проблему:

Используемый профиль должен иметь запись mfa_serial. В моем случае добавлен arn-string для mfa-устройства в мой локальный профиль по умолчанию в ~/.aws/config вот так:

[default]

region = eu-central-1

mfa_serial = arn:aws:iam:<number>:mfa/<name>

Эту строку можно найти в консоли, служба IAM под пользователем, учетные данные безопасности.